姜 建 中国信息通信研究院安全研究所工程师韩 挺 中国信息通信研究院安全研究所工程师
互联网语音业务特征及安全问题分析
姜建中国信息通信研究院安全研究所工程师
韩挺中国信息通信研究院安全研究所工程师
随着互联网语音业务的快速发展,如何有效地管理互联网语音业务并对其进行安全防护的问题亟待解决。为此,本文首先梳理了互联网语音业务的相关特征,并按照不同维度对互联网语音业务进行分类;其次,分析了互联网语音业务中存在的安全问题;最后,针对互联网语音业务的现状给出了相应的安全管理建议。
互联网语音业务;特征归类;网络安全问题
Internet在全世界范围内的快速发展和语音信号处理技术的进步,促进了互联网语音业务(Vo IP)的兴起。互联网语音是指通过互联网相关协议,采用新型数字化传输技术,将语音信号数字化,以数据包的形式在IP数据网络上进行实时传递的语音应用。互联网语音以传统的Internet为基本平台,具备低成本、全球性、多样性和高兼容性等特征,可以兼容Web、Windows、Android、iOS等平台,并允许不同平台间的互联互通。
互联网语音是近几年来兴起的一个热门技术,以其低廉的价格引起人们的普遍关注。从20世纪90年代初到现在,互联网语音已经从简单的具有语音服务的PC产品发展到具有多业务、高可靠性以及较好服务质量的含话音和数据传送功能的电信业务。鉴于互联网语音自身的优势和良好的发展前景,互联网语音业务正在逐步占据传统固定电话业务市场。例如,日本互联网语音用户的数量以每年700万的速度增长,并已逐渐接近其传统电话用户的数量;新加坡政府已经把原先允许35家运营商提供互联网语音服务的规定扩大到600多家;香港电讯管理局将颁发互联网语音法规和码号规划,大力推动网络电话发展;在美国,互联网语音业务在家用和商用市场中都不断地占据更大份额。
随着互联网语音业务的快速发展,各种不同形式的互联网语音业务也层出不穷,为此有必要梳理现有互联网语音业务的发展现状,对各种互联网语音业务的业务特征进行抽象和提炼,归纳出几种典型的业务特征,并对互联网语音业务存在的安全风险进行分析,给出相应的管理建议。
由于互联网语音的特征多样,可以从连接方式、业务模式、信令协议等方面对互联网语音业务进行划分。
2.1按连接方式划分
根据互联网语音的连接方式互联网语音业务可以大致分为PC to PC、PC to Phone、Phone to Phone方式,下面将针对这3种连接方式分别进行介绍。
(1)PC toPC方式
PC toPC方式是互联网语音的主流模式,是指通话双方通过安装特定软件,利用具有麦克风、耳机及互联网接入的智能终端(如计算机、智能手机等)进行通话的模式。主流的PC to PC语音业务有YY语音、有信、QQ语音、微信电话本等。
随着移动互联网的快速发展以及3/4G电信网络的应用,PCtoPC的连接模式中不仅要包含传统的计算机还要包含智能手机等智能终端,其传输网络也由单一的Internet网络变为Internet网络和移动互联网等多个网络的融合网络。因此,PC to PC的传输控制模式也由Windows套接字等方式演变为SIP信令控制方式,以满足多网络融合的需求。
(2)PC toPhone方式
PC to Phone方式是指通话的一方使用互联网终端,另一方通过互联网语音网关接入公共电话网络进行语音通信,由于传统电话终端无法直接接收Internet传输的数字信号,所以必须通过互联网语音网关进行数字信号和模拟信号的相互转换以及语音的压缩、打包和解压、拆包等操作。
由于PC to Phone方式能够将现有的互联网络同原有的PSTN网络互连,不但可以增加互联网语音的通信范围,而且对大企业客户和个人用户都具有一定的吸引力。但是,互联网和传统PSTN网络的互联不但增加了互联网语音网关的运营开销,也给PC to Phone方式带来了互联网和传统PSTN的双重安全威胁。
(3)PhonetoPhone方式
Phoneto Phone方式主要用于企业网内,以目前已有的家用电话为基础,通过加装互联网语音网关并连接到互联网。Phone toPhone方式需要部署两种设备,即互联网语音网关和关守。PhonetoPhone方式支持的控制信令协议主要有ITU的H.323和IETF的会话初始化协议SIP。
Phoneto Phone方式不改变传统电话用户的使用习惯,与其他两种方式相比,拥有更广泛、易于推广的用户市场。但是,服务提供商需要增设互联网语音网关和网守,对网络的改造较大;同时,Phoneto Phone方式也面临互联网和传统PSTN的双重安全威胁。
2.2按业务模式划分
目前,互联网语音常见的业务模式主要有专用客户端方式、宽带电话方式、即时通信语音方式,下面将针对这3种业务模式分别进行介绍。
(1)专用客户端业务模式
专用客户端是在个人终端上安装互联网语音通信软件,并通过客户端进行通信的语音模式。目前,主流的互联网通信客户端有国外的Skype、GoogleTalk,国内的微信电话本、YY语音、有信等。
专用客户端又分为直拨和回拨两种模式,直拨是指客户端用户直接呼叫另一客户端用户,通过互联网实现语音通信;回拨是指话务发起方拨打电话,回拨平台服务器接收到用户主叫号码后主动挂掉连接同时回拨发起方,当发起方接通后回拨平台再呼叫被叫方,从而实现发起方和被叫之间的通话。
专用客户端的便于安装和低资费等优势吸引着企业及各种人群的使用,并随着技术的成熟、通话质量的提高,越来越受到大众的喜爱。但是,专用客户端尚处在监管缺失的状态中,面临的窃听、冒用、重放等网络攻击态势也不容乐观。因此,专用客户端亟需增强安全防护措施,以及政府的监管和引导。
(2)宽带电话业务模式
宽带电话是基于IP技术,以宽带传输网络和IP终端为载体,融合语音和数据的新型电信服务平台。宽带电话具有一定的IP寻址功能,由专门的服务器负责呼叫控制、寻址和路由,互联网或者专门的IP网络负责网络承载,可穿透私网和防火墙,并提供PC to Phone的语音通信。
宽带电话主要有两种经营方式:一是通过发卡的方式发展用户,用户可以通过接入Internet服务器进行拨号;二是用户购买IP电话机,并享受包月服务。两种方式中,用户均可以拨打传统电信用户或者其他宽带用户,从而实现互联网语音的PCtoPhone连接。
(3)即时通信业务模式
即时通信是指依托IP数据网,集互联网电话、即时消息、新闻、支付、地图等功能于一身的综合性社交平台。目前,支持语音功能的即时通信软件包括QQ、微信、易信等。即时通信所提供的高效、快速的语音通信,会逐渐改变用户使用传统语音业务的习惯,在一定程度上对传统电信业形成了替代。
随着技术的快速发展,即时通信语音业务承载主体将会进一步延伸,智能电视、可穿戴设备等新设备由于具备移动操作系统且能与智能手机连接,将会移植即时通信语音业务功能,并根据终端的不同特点对于业务功能进行调整。
即时通信话音业务的表达形式和交互价值现已超越了传统通信。随着移动互联网的快速发展和智能终端的普及,其对我国ICT产业格局将产生重要影响。未来,移动即时通信业务的通信属性、社交属性和媒体属性日益突出,尤其是通信属性中不断扩充的基础电信业务因素,将使得此类业务的监管模式面临新的挑战。
2.3按信令协议划分
从信令协议角度划分,互联网语音大致能够划为三大类,即基于H.323协议的互联网语音、基于SIP协议的互联网语音、基于TCP/IP协议的互联网语音。
(1)基于H.323协议的互联网语音
H.323是在包交换网络上提供互联网语音业务的关键技术。其中,包交换网络包括:基于IP的网络(含Internet);基于IPX的局域网、企业网、城域网和广域网等。H.323既可以应用于点对点的音频应用(如IP电话)、视频+音频应用(如可视电话)、音频+数据应用、音频+视频+数据应用,也可以应用于多点间的多媒体通信。
从业务实现模式上看,专用客户端中的回拨方式以及宽带电话中的PC to PC、PC toPhone方式均可以采用H.323协议来完成信令的传输,因此基于H.323协议的语音业务在国内获得了广泛应用。但随着移动通信业务的兴起,H.323语音业务的增长势头正逐渐变缓。
(2)基于SIP协议的互联网语音
由于SIP协议所具有的优势,无论设备制造商还是业务提供商,都看好SIP协议在网络融合与业务集成方面的美好前景。微软公司已经在最新的操作系统中实现了SIP协议栈,Window s的即时通信软件MSN也已经以SIP协议为基础;Nokia和Ericsson公司已经开发出了基于SIP的端到端系统,用于固定网络和移动网络的多媒体通信,为用户提供丰富的多媒体业务;北电和思科公司也推出了集成SIP的多媒体通信产品。事实上,与SIP相关的产品线已非常丰富,包括SIP代理服务器、SIP用户终端、SIP网关、SIP防火墙和NAT、SIP应用服务器等。不仅如此,诸如Vonage、MCI、LEVEL3等大型业务提供商也已经开始部署和运营基于SIP的固定网络VolP业务。
从业务实现模式上看,专用客户端中的回拨方式、即时通信语音业务、宽带电话中的PC to PC、PC to Phone方式均可以采用SIP协议完成信令的传输
(3)基于TCP/IP协议的互联网语音
基于TCP/IP协议的互联网语音主要出现在互联网语音通信早期的PC to PC连接模式中,通过Socket编程进行信令控制。通过网关和路由器的协助将IP数据包发送到对方的计算机上。
基于TCP/IP协议的信令传输方式易于实现,且对现有互联网络改造较少,因此前期PC to PC方式的互联网语音多采用TCP/IP协议进行信令传输。但是基于TCP/IP协议的信令控制具有语音质量低、信令流易被劫持和攻击等缺陷,且这种方式难以适应目前复杂的移动互联网络环境,因此部分专用客户端业务模式的互联网语音已经转而采用SIP协议作为信令控制协议,以增加通话质量和信令传输安全。
相对于实用性而言,早期的互联网语音设计方案中并没有考虑太多的安全性因素。互联网语音最大的问题来源于PC到Phone方式,由于其具有任意改号的能力,这些修改过主叫号码的呼叫进入公共电信网后,将无法依据主叫号码来对合法呼叫进行判断,从而造成诈骗、恐吓、恶意呼叫等恶意行为。随着互联网语音被广泛接受和应用,其安全性显得越来越重要。
(1)IP组网本身的脆弱性
互联网语音依托于开放性网络,开放性的存在必然导致安全性的隐患,在分组网中刺探语音信息要比电路交换网的物理探测容易得多。
IP组网固有的安全威胁包括:
●嗅探数据包的话音窃听。
●网络身份、用户账号和设备欺骗。
●数据包操纵终止业务。
●破坏网络的完整性,修改数据库或复制设备,使话音网络拥堵或被控制。
●其他安全威胁,如终端用户隐私泄漏等。
目前,IP网络上存在着大量的端口扫描工具,如XWay等,任何一个潜在的内部黑客都可以使用这些工具获取互联网语音各个组成部分的详细信息,如IP地址、服务应用的TCP/UDP端口等。
(2)互联网语音容灾性差
IP分组网络的性能无法达到电路交换网的水平,其网络脆弱性也加大了互联网语音的安全风险。当运营互联网语音的数据网络遭受不可抗拒的自然灾难时,用户将面临同时丢失话音和数据通信的风险。
另外,传统PSTN用户在拨打火警、急救电话等紧急呼叫的同时,可以迅速向呼叫中心提供确定的物理位置,但是在一个互联网语音中,拨打紧急呼叫号码的用户可以在IP网络的任何位置,不能提供其所处的确切位置。因此,在危机时刻,通过互联网语音业务拨打紧急呼叫远没有通过PSTN呼叫方便、可靠。
(3)互联网语音易受到网络攻击
互联网语音环境中易受到的网络攻击包括:
●拒绝服务(DoS)攻击:如宽带电话终端、网关等端点,可能受到SYN或ICMP数据包的攻击,以致通信中断,无法正常提供宽带电话服务。
●呼叫截取:话音或实时传输协议RTP数据包受到非授权的跟踪和截取。
●信令协议篡改:与呼叫截取类似,恶意用户可以监控和篡改建立呼叫后传输的数据包;修改数据流中的域,使互联网语音用户将非法呼叫误认为合法呼叫。
(4)即时通信语音面临新问题
随着技术和商业模式的变化,即时通信语音将引发一系列的安全问题。
●即时通信语音增加了用户隐私信息泄露的风险。即时通信语音获取相关用户信息,极易造成个人信息泄露。
●即时通信语音加大了社会安全隐患。用户使用即时通信语音业务可以直接与任何陌生人建立联系,被不法分子利用成为犯罪的新工具,对社会安全问题产生了不利影响。
当前互联网语音业务可以分为多种类型,且针对大多数互联网语音业务均没有有效的管控手段,为早日实现互联网语音安全保障的需求,不断提升互联网语音安全建设水平,建议从以下几方面开展工作:
●完善管理制度,将互联网语音业务纳入到互联网信息服务管理工作中
应该积极构建统筹互联网语音发展与互联网安全的制度机制,建立落实互联网语音服务和产品的安全审查制度,在互联网语音快速发展的同时,同步考虑互联网语音的安全问题和解决方案。
●强化个人信息保护
依照《全国人大关于加强网络信息保护的决定》以及工业和信息化部《电信和互联网用户个人信息保护规定》的要求建立全面的用户个人信息安全体系,防止个人电子信息的泄露、毁损和丢失。
●加强技术手段建设,提升安全保障能力
强化互联网语音新技术新业务信息安全评估;完善事前预警、事中应急管控、事后追踪溯源的全周期管理体系;落实企业安全责任。
随着移动互联网以及网络融合技术的快速发展,互联网语音业务层出不穷,业务形态各异,本文期望通过现有互联网语音从业务特征的层面进行提炼,归纳出互联网语音业务的分类特征,为互联网语音业务的管理和安全防护提供有效的依据。最后,本文分析了现有互联网语音中存在的安全风险以及给出了针对互联网语音业务的管理建议,为互联网语音业务的健康发展提供参考。
[1]Travers G,Swale R P.International standards for VoIP[J].BT Technology Journal,2001,19.
[2]Director General of Telecommunications.Frequently Asked Questions on the Regulation of Voice over Internet Protocol Services[EB/OL].http://www.ictregulationtoolkit.org,2pril.
[3]彭秀萍,赵定.VoIP及其典型应用模式[J].成都大学学报,2006,03(25):105-107.
[4]徐玉.全球宽带电话市场分析[J].世界电信,2004.
[5]张登银,孙精科.VoIP技术分析与系统设计[M].人民邮电出版社,2003.
[6]司端锋,潘爱民.IP电话(VolP)中的安全性问题[J].计算机工程,2004,18:105-107.
Analysis on Voice over Internet Features and Network Security Problems
Jiang Jian,HanTing
With the rapid development of the voice over Internet,the management and security protection of voice overInternet become more and more important.So we firstly research the feature of voice over Internet and classify the voice over Internet as different dimension.Secondly,we analyze the security problem of voice over Internet.At last,we give recommendations to manage voice over Internet.
voice over Internet;feature classification;network security
2015-12-10)